交换机上抓包

在交换机上进行数据包捕获，可以有效地帮助排查网络问题。以下是各大厂商交换机抓包的操作总结。

### H3C 交换机抓包
在华三交换机上，可以使用 `packet-capture` 命令进行抓包，需在用户视图下执行。详细操作可参考官方文档：[H3C 抓包指引](https://www.h3c.com/cn/d_202009/1327093_30005_0.htm)。

#### 操作步骤：
1. **配置流量匹配**：
   ```plaintext
   acl advanced 3000
   description test
   rule 0 permit ip source 192.168.1.1 0 destination 192.168.2.1 0
   traffic classifier class_test operator and
   if-match acl 3000
   ```
2. **设置流量行为**：
   ```plaintext
   traffic behavior behavior_test
   accounting packet  # 进行流量统计
   mirror-to cpu       # 流量镜像到 CPU，以便抓包
   ```
3. **配置 QoS 策略**：
   ```plaintext
   qos policy policy_test
   classifier class_test behavior behavior_test
   ```
4. **应用 QoS 策略并启动抓包**：
   ```plaintext
   interface Ten-GigabitEthernet1/3/1
   qos apply policy policy_test inbound 
   packet-capture local interface Ten-GigabitEthernet 1/3/1 autostop filesize 50000 write flash:/isp1.cap
   packet-capture stop  # 及时停止抓包
   ```

#### 注意事项：
- 抓包时应尽量使用 ACL 精确匹配流量。
- 在 Traffic Behavior 中，必须配置流量镜像到 CPU，以便成功抓包。
- 设置文件大小限制（如：`autostop filesize 50000`），以避免交换机硬盘满。
- 尽量选择低峰期进行抓包。
- 使用 `display qos policy interface` 查看匹配情况。

### 华为交换机抓包
华为交换机使用 `capture-packet` 命令在用户视图下执行，具体操作可参考文档：[华为抓包指引](https://support.huawei.com/hedex/hdx.do?lib=EDOC110010122531180BDB&docid=EDOC1100101225&lang=zh&v=02&tocLib=EDOC110010122531180BDB&tocV=02&id=ZH-CN_CLIREF_0141119899&tocURL=resources%252fdc%252fcapture%252dpacket%252ehtml&p=t&fe=1&ui=3&keyword=capture)。

#### 操作步骤：
```plaintext
capture-packet interface 10GE 1/0/5 acl 3000 destination file file.cap packet-num 1000 packet-len 1000
undo capture-packet  # 关闭报文捕获
```
#### 注意事项：
- 设置合适的抓包限制，以防止硬盘被填满。

### 锐捷交换机抓包
锐捷交换机使用 `packet capture` 命令，该命令在用户视图下执行。

#### 操作步骤：
```plaintext
packet capture ?
file  Packet capture file   # 设置抓包文件保存路径
point Packet capture point
rule  Packet capture rule    # 抓包规则
start Start to capture packets # 开启抓包
stop  Stop to capture packets  # 停止抓包
```

### Arista 交换机抓包
在 Arista 交换机上，需进入 bash 环境，使用 Linux 命令 `tcpdump` 进行抓包。

#### 操作步骤：
```plaintext
Arista#
bash
Arista Networks EOS shell
[admin@Arista ~]$ 
tcpdump --help
```
### Cisco 交换机抓包
Cisco Nexus 交换机使用 `ethanalyze` 命令，该命令只能捕获发送至交换机自身或由其发出的流量。如果需要抓取 CPU 流量，则需将端口流量镜像到 CPU。有关详细信息，请参考：[Cisco 抓包指引](https://www.cisco.com/c/en/us/support/docs/switches/nexus-9000-series-switches/215329-nexus-9000-cloud-scale-asic-nx-os-span-t.html)。

#### 操作步骤：
```plaintext
ethanalyzer local interface inband ?
# 配置 SPAN 到 CPU 的监视器会话
configure terminal 
monitor session 1
source interface Ethernet1/10 rx
destination interface sup-eth0
no shut
end
# 查看监视器会话状态
show running-config monitor
show monitor
# 用 ethanalyzer 查看复制的数据包
ethanalyzer local interface inband mirror display-filter "icmp && ip.addr==192.168.10.10" limit-captured-frames 0
# 使用 Control-C 组合键退出抓包
```

#### 注意事项：
- 在配置 SPAN 时，确保删除所有 sFlow 数据源，以避免冲突。